NESTA PÁGINA
Entender o banco de dados de identificação de aplicativos Junos OS
Desativação e relembramento da identificação de aplicativos do Junos OS
Ativação ou desativação do cache do sistema de aplicativos para serviços de aplicativo
Entender o suporte de quadros Jumbo para serviços de identificação de aplicativos Do Junos OS
Visão geral do tráfego de aplicativos desconhecido captura de pacotes
Configure a captura de pacotes para tráfego de aplicativos desconhecido
Identificação de aplicativos
A identificação de aplicativos permite que você veja os aplicativos em sua rede e saiba como eles funcionam, suas características comportamentais e seu risco relativo. Usando vários mecanismos de identificação diferentes, a ID do aplicativo detecta os aplicativos em sua rede, independentemente da porta, protocolo e outras táticas evasivas usadas. Para obter mais informações, consulte os seguintes tópicos:
Compreender técnicas de identificação de aplicativos
Historicamente, os firewalls têm usado o endereço IP e os números de porta como uma forma de aplicar políticas. Essa estratégia baseia-se na premissa de que os usuários se conectam à rede a partir de locais fixos e acessam recursos específicos usando números de porta específicos.
Hoje em dia, redes sem fio e dispositivos móveis exigem uma estratégia diferente. A maneira como os dispositivos se conectam à rede muda rapidamente. Um indivíduo pode se conectar à rede usando vários dispositivos ao mesmo tempo. Não é mais prático identificar um usuário, aplicativo ou dispositivo por um grupo de endereços IP alocados estaticamente e números de porta.
Este tópico inclui a seção a seguir:
- Identificação de aplicativos de próxima geração do Junos OS
- Benefícios da identificação de aplicativos
- Mapeamento de assinatura de aplicativos
- Sequência de combinações de identificação de aplicativos
Identificação de aplicativos de próxima geração do Junos OS
A identificação de aplicativos de próxima geração se baseia na funcionalidade de identificação de aplicativos legado e fornece recursos de detecção mais eficazes para aplicativos evasivos, como Skype, BitTorrent e Tor.
A identificação do aplicativo Junos OS reconhece outros aplicativos e protocolos baseados na Web em diferentes camadas de rede usando características diferentes do número de porta. Os aplicativos são identificados usando um pacote de protocolo que contém assinaturas de aplicativos e informações de análise. A identificação é baseada em análise de protocolo, decodificação e gerenciamento de sessões.
O mecanismo de detecção tem seu próprio feed de dados e constrói para identificar aplicativos.
Os seguintes recursos são suportados na identificação de aplicativos:
Suporte a protocolos e aplicativos, incluindo streaming de vídeo, comunicação peer-to-peer, redes sociais e mensagens
Identificação de serviços dentro das aplicações
Capacidade de diferenciar as ações lançadas dentro de uma aplicação (como login, navegação, bate-papo e transferência de arquivo)
Suporte para todas as versões de protocolos e decodificadores de aplicativos e atualizações dinâmicas de decodificadores
Suporte para tráfego criptografado e comprimido e protocolos de tunelamento mais complexos
Capacidade de identificar todos os protocolos da Camada 3 à Camada 7 e acima da Camada 7
Benefícios da identificação de aplicativos
Fornece controle granular sobre aplicativos, incluindo streaming de vídeo, comunicação peer-to-peer, redes sociais e mensagens. Ele também identifica serviços, uso de porta, tecnologia subjacente e características comportamentais dentro dos aplicativos. Essa visibilidade permite bloquear aplicativos evasivos internamente no firewall da Série SRX.
Identifica aplicativos e permite, bloquear ou limitar aplicativos, independentemente da porta ou do protocolo, incluindo aplicativos conhecidos por usar técnicas evasivas para evitar a identificação. Essa identificação ajuda as organizações a controlar os tipos de tráfego permitidos para entrar e sair da rede.
Mapeamento de assinatura de aplicativos
O mapeamento da assinatura do aplicativo é um método preciso para identificar a aplicação que emitiu tráfego na rede. O mapeamento de assinaturas opera na Camada 7 e inspeciona o conteúdo real do payload.
Os aplicativos são identificados usando um pacote de protocolos que pode ser baixado. Assinaturas de aplicativos e informações de análise dos primeiros pacotes são comparadas ao conteúdo do banco de dados. Se o payload contiver as mesmas informações que uma entrada no banco de dados, a aplicação do tráfego será identificada como o aplicativo mapeado para a entrada do banco de dados.
Juniper Networks fornece um banco de dados de identificação de aplicativos predefinido que contém entradas para um conjunto abrangente de aplicativos conhecidos, como FTP e DNS, e aplicativos que operam por meio do protocolo HTTP, como Facebook, Kazaa e muitos programas de mensagens instantâneas. Uma assinatura permite que você baixe o banco de dados Juniper Networks e atualize regularmente o conteúdo à medida que novas assinaturas predefinida são adicionadas.
Sequência de combinações de identificação de aplicativos
A Figura 1 mostra a sequência em que são aplicadas técnicas de mapeamento e como a aplicação é determinada.
Na identificação da aplicação, cada pacote no fluxo passa pelo mecanismo de identificação do aplicativo para processamento até que a aplicação seja identificada. As vinculações de aplicativos são economizadas no cache do sistema de aplicativo (ASC) para acelerar o processo de identificação futuro.
As assinaturas de aplicativos identificam um aplicativo com base na análise de gramática de protocolo nos primeiros pacotes de uma sessão. Caso o mecanismo de identificação do aplicativo ainda não tenha identificado o aplicativo, ele passa os pacotes e espera por mais dados.
O módulo de identificação de aplicativos combina aplicativos para sessões de cliente para servidor e servidor para cliente.
Depois que a aplicação for determinada, AppSecure módulos de serviço podem ser configurados para monitorar e controlar o tráfego para rastreamento, priorização, controle de acesso, detecção e prevenção com base na ID do aplicativo do tráfego.
Rastreamento de aplicativos (AppTrack)— Rastreia e informa aplicativos que passam pelo dispositivo.
Intrusion Detection and Prevention (IDP)— Aplica os objetos de ataque apropriados a aplicativos em execução em portas não padrão. A identificação de aplicativos melhora IDP desempenho ao restringir o escopo de assinaturas de ataque para aplicativos sem decodificadores.
Firewall de aplicativos (AppFW)— Implementa um firewall de aplicativos usando regras baseadas em aplicativos.
AppQoS (Application Quality of Service, Qualidade de serviço de aplicativos) — Fornece priorização de qualidade de serviço com base na conscientização dos aplicativos.
Roteamento avançado baseado em políticas (APBR)— Classifica a sessão com base em aplicativos e aplica as regras configuradas para reroutar o tráfego.
AppQoE (Application Quality of Experience, Qualidade de experiência do aplicativo) — Monitora o desempenho dos aplicativos e, com base na pontuação, escolhe o melhor enlace possível para esse tráfego de aplicativo.
Veja também
Entender o banco de dados de identificação de aplicativos Junos OS
Um banco de dados de assinaturas predefinido está disponível no site Juniper Networks Security Engineering. Esse banco de dados inclui uma biblioteca de assinaturas de aplicativos. Consulte assinaturas de aplicativos para obter mais detalhes. Essas páginas de assinatura darão visibilidade da categoria de aplicativos, grupo, nível de risco, portas e assim por diante.
O pacote de assinaturas predefinido fornece critérios de identificação para assinaturas de aplicativos conhecidas e é atualizado periodicamente.
Sempre que novos aplicativos são adicionados, o pacote de protocolo é atualizado e gerado para todas as plataformas relevantes. Ele é empacotado junto com outros arquivos de assinatura de aplicativos. Este pacote estará disponível para download pelo site de download de segurança.
Um serviço de assinatura permite que você baixe regularmente as assinaturas mais recentes para cobertura atualizada sem ter que criar entradas para seu próprio uso.
A identificação do aplicativo é ativada por padrão e automaticamente ativada quando você configura Intrusion Detection and Prevention (IDP), AppFW, AppQoS ou AppTrack.
As atualizações do pacote de assinatura de aplicativos predefinidos do Junos OS são autorizadas por um serviço de assinatura licenciado separadamente. Você deve instalar a chave de licença da atualização da assinatura do aplicativo de identificação do aplicativo em seu dispositivo para baixar e instalar as atualizações do banco de dados de assinatura fornecidas pela Juniper Networks. Quando a chave de licença expirar, você pode continuar a usar o conteúdo do pacote de assinatura de aplicativos localmente armazenado, mas você não pode atualizar o pacote.
Veja também
Desativação e relembramento da identificação de aplicativos do Junos OS
A identificação do aplicativo é habilitada por padrão. Você pode desativar a identificação de aplicativos com a CLI.
Para desativar a identificação do aplicativo:
user@host# set services application-identification no-application-identification
Se você quiser reenvante a identificação do aplicativo, exclua a instrução de configuração que especifica a desativação da identificação do aplicativo:
user@host# delete services application-identification no-application-identification
Se você tiver terminado de configurar o dispositivo, compromete a configuração.
Para verificar a configuração, insira o show services application-identification comando.
Veja também
Entender o cache do sistema de aplicativos
O cache do sistema de aplicativo (ASC) economiza o mapeamento entre um tipo de aplicativo e o endereço IP de destino correspondente, porta de destino, tipo de protocolo e serviço. Uma vez identificada uma aplicação, as informações são salvas no ASC para que apenas uma entrada correspondente seja necessária para identificar um aplicativo em execução em um sistema específico, agilizando o processo de identificação.
Por padrão, o ASC economiza as informações de mapeamento por 3.600 segundos. No entanto, você pode configurar o valor de tempo de transferência de cache usando a CLI.
Você pode usar o comando [edit services application-identification application-system-cache-timeout] para alterar o valor de tempo de transferência das entradas de cache do sistema de aplicativo. O valor do timeout pode ser configurado de 0 a 1.000.000 segundos. A sessão asc pode expirar após 1000.000 segundos.
As entradas do ASC expiram após o tempo de tempo de ASC configurado. As entradas de ASC não são atualizadas mesmo quando há hits em cache (entrada correspondente no ASC encontrada) durante o período de intervalo.
Ao configurar uma nova assinatura de aplicativo personalizada ou modificar uma assinatura personalizada existente, todas as entradas de cache do sistema de aplicativos existentes para aplicativos predefinidos e personalizados serão liberadas.
Quando você elimina ou desativa uma assinatura de aplicativo personalizada, e a configuração falha, a entrada do cache do sistema de aplicativo (ASC) não é completamente liberada; em vez disso, uma aplicação base no caminho da aplicação personalizada será informada no ASC.
Veja também
Ativação ou desativação do cache do sistema de aplicativos para serviços de aplicativo
A partir da versão 18.2R1 Junos OS, o comportamento padrão do ASC é alterado da seguinte forma:
- Antes da versão do Junos OS 18.2R1— o ASC está habilitado por padrão para todos os serviços, incluindo serviços de segurança.
-
A partir da versão do Junos OS 18.2R1 adiante, o ASC está habilitado por padrão; observe a diferença na olhada em serviços de segurança:
-
A busca de serviços de segurança do ASC não está habilitada por padrão. Ou seja, serviços de segurança, incluindo políticas de segurança, firewall de aplicativos (AppFW), rastreamento de aplicativos (AppTrack), aplicativos qualidade de serviço (AppQoS), Juniper Sky ATP, IDP e UTM não usam o ASC por padrão.
-
A busca de serviços diversos pelo ASC é ativada por padrão. Ou seja, serviços diversos, incluindo o roteamento avançado baseado em políticas (APBR), usam o ASC para identificar aplicativos por padrão.
-
A mudança no comportamento padrão do ASC afeta a funcionalidade appFW legada. Com o ASC inválido por padrão para os serviços de segurança a partir da Versão 18.2 do Junos OS, o AppFW não utilizará as entradas presentes no ASC.
Você pode reverter para o comportamento ASC como nas versões do Junos OS antes da versão 18.2 usando o set services application-identification application-system-cache security-services comando.
O dispositivo de segurança pode se tornar susceptível a técnicas de evasão de aplicativos se o ASC estiver habilitado para serviços de segurança. Recomendamos que você ative o ASC somente quando o desempenho do dispositivo em sua configuração padrão (inválido para serviços de segurança) não for suficiente para seu caso de uso específico.
Use os seguintes comandos para habilitar ou desativar o ASC:
Ative o ASC para serviços de segurança:
user@host#set services application-identification application-system-cache security-servicesDesative o ASC para serviços diversos:
user@host#set services application-identification application-system-cache no-miscellaneous-servicesDesative o ASC ativado para serviços de segurança:
user@host#delete services application-identification application-system-cache security-servicesAtive o ASC inválido para serviços diversos:
user@host#delete services application-identification application-system-cache no-miscellaneous-services
Você pode usar o comando show services application-identification application-system-cache para verificar o status do ASC.
A saída de amostra a seguir fornece o status do ASC:
user@host>show services application-identification application-system-cache
Application System Cache Configurations:
application-cache: on
Cache lookup for security-services: off
Cache lookup for miscellaneous-services: on
cache-entry-timeout: 3600 seconds
Nas versões antes da versão do Junos OS 18.2R1, o armazenamento de aplicativos estava habilitado por padrão. Você pode desativá-lo manualmente usando o set services application-identification no-application-system-cache comando.
user@host# set services application-identification no-application-system-cache
Veja também
Verificar estatísticas de cache do sistema de aplicativos
Propósito
Verificar as estatísticas do cache do sistema de aplicativos (ASC).
O cache do sistema do aplicativo exibirá o cache para aplicativos de identificação de aplicativos.
Ação
Do modo de operação CLI, insira o show services application-identification application-system-cache comando.
Saída de amostra
nome de comando
user@host> show services application-identification application-system-cache application-cache: on nested-application-cache: on cache-unknown-result: on cache-entry-timeout: 3600 seconds
Significado
A saída mostra um resumo das informações estatísticas do ASC. Verificar as seguintes informações:
endereço IP — Exibe o endereço de destino.
Porta — Exibe a porta de destino no servidor.
Protocolo — Exibe o tipo de protocolo na porta de destino.
Aplicativo — Exibe o nome da aplicação identificada na porta de destino.
Para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M e SRX1500, quando houver um grande número de entradas ASC (10.000 ou mais), show services application-identification application-system-cachee as entradas devem ser listadas na saída para o comando, ocorre um tempo de sessões CLI.
Veja também
Estatísticas de identificação de aplicativos da Onbox
Os serviços de identificação de aplicativos fornecem informações estatísticas por sessão. Essas estatísticas fornecem aos clientes um perfil de uso de aplicativos. O recurso Onbox Application Identification Statistics adiciona estatísticas de nível de aplicativo ao AppSecure conjunto. As estatísticas de aplicativos permitem que um administrador acesse estatísticas acumuladas e estatísticas acumuladas em intervalos definidos pelo usuário.
Com esse recurso, o administrador pode limpar as estatísticas e configurar os valores de intervalo enquanto mantém bytes e estatísticas de contagem de sessões. Como a contagem de estatísticas ocorre no tempo de evento próximo da sessão, as contagens de byte e sessão não são atualizadas até o fim da sessão. Juniper Networks de segurança são compatíveis com um histórico de oito intervalos que um administrador pode usar para exibir as taxas de sessão e byte dos aplicativos. A partir do Junos OS 18.3R1, os dispositivos de segurança são compatíveis com um histórico de um intervalo para exibir as taxas de sessão de aplicativos e byte.
Se o grupo de aplicativos tiver suporte na configuração do Junos OS, o recurso Onbox Application Identification Statistic aceita estatísticas de correspondência na caixa de entrada por grupo. As estatísticas são mantidas apenas para grupos predefinidos.
Reinstalar um pacote de assinaturas de aplicativos não limpará as estatísticas dos aplicativos. Se a aplicação for desabilitada, não haverá tráfego para essa aplicação, mas a aplicação ainda é mantida nas estatísticas. Não importa se você está reinstalando um aplicativo predefinido, porque os aplicativos são monitorados de acordo com o tipo de aplicativo. Para estatísticas de grupo predefinidos, a reinstalação de um pacote de segurança não limpará as estatísticas. Entretanto, quaisquer alterações feitas nas adesões de grupos são atualizadas. Por exemplo, o junos:web pode ter 50 aplicativos na versão atual e 60 aplicativos após uma atualização. Aplicativos que são excluídos e grupos de aplicativos rebatizado são manuseados da mesma maneira que os aplicativos adicionados.
O módulo de identificação de aplicativos mantém um contadores de sessão de 64 bits para cada aplicativo em cada unidade de processamento de serviços (SPU). O contador incrementa quando uma sessão é identificada como uma aplicação específica. Outro conjunto de contadores de 64 bits agrega o total de bytes por aplicativo no SPU. Os contadores para aplicações não especificadas também são mantidos. As estatísticas de várias SPUs para sessões e bytes são agregadas no Mecanismo de Roteamento e apresentadas aos usuários.
As SPUs individuais têm temporizadores de intervalo para reverter estatísticas por interval vez. Para configurar o intervalo de coleta de estatísticas, use o set services application-identification statistics interval time comando. Sempre que Mecanismo de Roteamento consultas sobre o intervalo necessário, as estatísticas correspondentes são buscadas de cada SPU, agregadas no Mecanismo de Roteamento e apresentadas ao usuário.
Use o para clear services application-identification statistics limpar todas as estatísticas de aplicação, como grupos de aplicativos, intervalos, aplicativos e acumulativos.
Use o comando clear services application-identification counter para reconfigurar os contadores manualmente. Os contadores reajustam automaticamente quando um dispositivo é atualizado ou reinicializado, quando o fluxo é reinicializado ou quando há uma mudança no temporizador de intervalo.
Use o set services application-identification application-system-cache-timeout value para especificar o valor de tempo de saída em segundos para as entradas de cache do sistema de aplicativo.
A partir do Junos OS Release 15.1X49-D120, em todos os dispositivos da Série SRX, o intervalo de tempo padrão para coleta de estatísticas de identificação de aplicativos muda de 1 minuto para 1440 minutos.
Configurando o tamanho do cache do IMAP
O Internet Message Access Protocol (IMAP) é um protocolo padrão da Internet usado por clientes de e-mail para serviços de armazenamento e recuperação de e-mails. O cache IMAP é usado para análise de protocolo e geração de contexto. Ele armazena informações relacionadas à análise de um e-mail.
A partir da versão 15.1X49-D120 Junos OS, você pode configurar para limitar o número máximo de entradas no cache IMAP e especificar o valor de tempo limite para as entradas no cache.
Você pode usar os seguintes comandos para modificar as configurações do cache IMAP:
set services application-identification imap-cache imap-cache-size size
set services application-identification imap-cache imap-cache-timeout time in seconds
Exemplo:
[edit]
user@host# set services application-identification imap-cache imap-cache-size 50000
Neste exemplo, o tamanho do cache do IMAP está configurado para armazenar 50.000 entradas.
[edit]
user@host# set services application-identification imap-cache-timeout 600
Neste exemplo, o período de intervalo é configurado para 600 segundos durante o qual uma entrada de cache permanece no cache IMAP.
Veja também
Entender o suporte de quadros Jumbo para serviços de identificação de aplicativos Do Junos OS
A identificação de aplicativos suporta o tamanho maior do quadro jumbo de 9192 bytes. Embora os quadros jumbo sejam ativados por padrão, você pode ajustar o tamanho unidade de transmissão máxima (MTU) usando o comando [set interfaces]. A sobrecarga da CPU pode ser reduzida durante o processamento de quadros jumbo.
Veja também
Limite de inspeção de identificação de aplicativos
A partir das versões do Junos OS 15.1X49-D200 e 19.4R1, você tem a flexibilidade de configurar os limites de inspeção de identificação do aplicativo:.
Inspection Limit for TCP and UDP Sessions
Você pode definir o limite de byte e o limite de pacote para identificação de aplicativos (AppID) em um UDP ou em uma sessão TCP. A ID do aplicativo conclui a classificação com base no limite de inspeção configurado. Ao exceder o limite, o AppID termina a classificação de aplicativos.
Caso a ID do aplicativo não conclua a classificação final dentro dos limites configurados e se um aplicativo pré-configurado estiver disponível, a AppID conclui a aplicação como o aplicativo pré-configurado. Caso contrário, o aplicativo é concluído como junos:DESCONHECIDO, desde que o cache appID global seja ativado. O cache AppID global é ativado por padrão.
Para configurar o limite de byte e o limite de pacote, use as seguintes declarações de configuração da
[edit]hierarquia:-
user@host#set services application-identification inspection-limit tcp byte-limit byte-limit-number packet-limit packet-limit-number -
user@host#set services application-identification inspection-limit udp byte-limit byte-limit-number packet-limit packet-limit-number
A Tabela 1 fornece o intervalo e o valor padrão para configurar o limite de byte e o limite de pacote para sessões de TCP e UDP.
Tabela 1: Limite máximo de byte e limite de byte de pacote para sessões de TCP e UDP Sessão
Limite
Gama
Valor padrão
TCP
Limite de byte
De 0 a 4294967295
6000
Para a versão do Junos OS 15.1X49-D200, o valor padrão é de 10.000.
Limite de pacotes
De 0 a 4294967295
Zero
UDP
Limite de byte
De 0 a 4294967295
Zero
Limite de pacotes
De 0 a 4294967295
10
Para a versão do Junos OS 15.1X49-D200, o valor padrão é de 20.
O limite de byte exclui o header IP e os comprimentos do cabeçado TCP/UDP.
Se você definir as opções e as
byte-limitpacket-limitopções, o AppID inspeciona a sessão até que ambos os limites sejam atingidos.Você pode desativar o limite de inspeção de TCP ou UDP configurando
byte-limitpacket-limitos valores correspondentes e zero.-
Global Offload Byte Limit (Other Sessions)
Você pode definir o limite de byte para o AppID concluir a classificação e identificar o aplicativo em uma sessão. Ao exceder o limite, a AppID termina a classificação dos aplicativos e toma uma das seguintes decisões:
Se um aplicativo pré-match estiver disponível, a AppID conclui a classificação dos aplicativos como o aplicativo pré-matched nos seguintes casos:
Quando a ID do aplicativo não conclui a classificação final dentro do limite de byte configurado
Quando a sessão não for descarregada devido ao comportamento de tunelamento de algumas aplicações
Caso um aplicativo pré-match não estiver disponível, a AppID conclui o aplicativo como junos:DESCONHECIDO, desde que o cache appID global seja ativado. O cache AppID global é ativado por padrão. Consulte Como ativar ou desativar o cache do sistema de aplicativos para serviços de aplicativo.
Para configurar o limite de byte, use a seguinte instrução de configuração da
[edit]hierarquia:set services application-identification global-offload-byte-limit byte-limit-number
O valor padrão da opção
global-offload-byte-limité de 10000.Você pode desativar o limite de byte de descarregamento global configurando o
global-offload-byte-limitvalor como zero.O limite de byte exclui o header IP e os comprimentos do cabeçado TCP/UDP.
- Habilitar a opção de modo de desempenho
- Suporte de identificação de aplicativos para aplicativos hospedados na Rede de Entrega de Conteúdo (CDN)
- Limite máximo de memória para DPI
Habilitar a opção de modo de desempenho
A partir das versões do Junos OS 15.1X49-D200 e 19.4R1, o limiar de pacote máximo para a opção de modo de desempenho DPI set services application-identification enable-performance-mode max-packet-threshold value é preterido — em vez de imediatamente removido — para fornecer compatibilidade reversa e uma oportunidade de levar sua configuração em conformidade com a nova configuração. Essa opção foi usada para definir o limiar de pacote máximo para o modo de desempenho DPI.
max-packet-threshold Se sua configuração incluir opção de modo de desempenho habilitada com as versões Junos OS 15.1X49-D200 e 19.4R1, a AppID conclui a classificação do aplicativo ao atingir o menor valor configurado no limite de inspeção do TCP ou UDP ou no limite de byte de descarregamento global ou no limiar de pacote máximo para a opção do modo desempenho DPI.
Suporte de identificação de aplicativos para aplicativos hospedados na Rede de Entrega de Conteúdo (CDN)
A partir do Junos OS Release 20.1R1 e do 19.1R3, você pode habilitar a identificação de aplicativos (AppID) para classificar um aplicativo da Web hospedado em uma rede de entrega de conteúdo (CDN), como AWS, Akamai, Azure, Fastly e Cloudflare e assim por diante. Use a seguinte instrução de configuração para habilitar a classificação dos aplicativos CDN:
[edit]user@host#user@hots# set service application-identification enable-cdn-application-detection
Quando você aplica a configuração, o AppID identifica e classifica aplicativos reais hospedados na CDN.
Limite máximo de memória para DPI
A partir do Junos OS Release 20.1R1 e 19.1R3, você pode configurar o limite de memória máximo para inspeção profunda de pacotes (DPI) usando a seguinte instrução de configuração:
user@host# set services application-identification max-memory memory-value
Você pode definir de 1 a 20000 MB como valor de memória.
Uma vez que o consumo de memória JDPI chega a 90% do valor configurado, o DPI interrompe o processamento de novas sessões.
Melhoria na taxa de transferência de tráfego de aplicativos
A taxa de transferência de tráfego de aplicativos pode ser melhorada definindo o inspeção profunda de pacotes (DPI) no modo de desempenho com o limite de inspeção de pacotes padrão como dois pacotes, incluindo direções de cliente para servidor e servidor para cliente. Por padrão, o modo de desempenho é desabilitado em dispositivos de segurança.
Para melhorar a taxa de transferência de tráfego de aplicativos:
Use o comando show services application-identification status para exibir informações detalhadas sobre o status da identificação do aplicativo.
mostrar status de identificação de aplicativos de serviços (DPI Performance Mode Enabled)
user@host> show services application-identification status pic: 2/1 Application Identification Status Enabled Sessions under app detection 0 Engine Version 4.18.2-24.006 (build date Jul 30 2014) Max TCP session packet memory 30000 Force packet plugin Disabled Force stream plugin Disabled DPI Performance mode: Enabled Statistics collection interval 1 (in minutes) Application System Cache Status Enabled Negative cache status Disabled Max Number of entries in cache 262144 Cache timeout 3600 (in seconds) Protocol Bundle Download Server https://signatures.juniper.net/cgi-bin/index.cgi AutoUpdate Disabled Slot 1: Application package version 2399 Status Active Version 1.40.0-26.006 (build date May 1 2014) Sessions 0 Slot 2 Application package version 0 Status Free Version Sessions 0
O campo do modo desempenho de DPI mostra se o modo de desempenho do DPI está ativado ou não. Esse campo é exibido na saída de comando CLI somente se o modo de desempenho estiver ativado.
Se você quiser definir o DPI como um modo de precisão padrão e desativar o modo de desempenho, elimine a instrução de configuração que especifica a ativação do modo de desempenho:
Para desativar o modo de desempenho:
Elimine o modo de desempenho.
[edit]user@host# delete services application-identification enable-performance-modeCompromete a configuração.
[edit]user@host# commit
Veja também
Visão geral do tráfego de aplicativos desconhecido captura de pacotes
Você pode usar o recurso de captura de pacotes de aplicativos desconhecidos para coletar mais detalhes sobre um aplicativo desconhecido em seu dispositivo de segurança. Tráfego de aplicativos desconhecido é o tráfego que não combina com uma assinatura de aplicativo.
Depois de configurar opções de captura de pacotes em seu dispositivo de segurança, o tráfego de aplicativos desconhecido é recolhido e armazenado no dispositivo em um arquivo de captura de pacotes (.pcap). Você pode usar a captura de pacotes de um aplicativo desconhecido para definir uma nova assinatura de aplicativo personalizada. Você pode usar essa assinatura personalizada de aplicativos em uma política de segurança para gerenciar o tráfego de aplicativos de maneira mais eficiente.
Você pode enviar o arquivo .pcap para Juniper Networks para análise nos casos em que o tráfego seja classificado incorretamente ou para solicitar a criação de uma assinatura de aplicativo.
Benefícios da captura de pacotes de tráfego de aplicativos desconhecido
Você pode usar a captura de pacotes de tráfego de aplicativos desconhecido para:
Junte mais informações sobre uma aplicação desconhecida
Analisar tráfego de aplicativos desconhecidos para possíveis ameaças
Ajude na criação de regras de política de segurança
Habilitar a criação de assinaturas personalizadas de aplicativos
A implementação de políticas de segurança que bloqueiam todo o tráfego de aplicativos desconhecidos pode causar problemas com aplicativos baseados em rede. Antes de aplicar esses tipos de políticas, certifique-se de validar que essa abordagem não causa problemas no seu ambiente. Você deve analisar cuidadosamente o tráfego de aplicativos desconhecido e definir a política de segurança de acordo.
Configure a captura de pacotes para tráfego de aplicativos desconhecido
antes de começar
Para habilitar a captura automática de pacotes de tráfego de aplicativos desconhecido, você deve:
Instale uma licença de recurso de identificação de aplicativos válida em seu dispositivo da série SRX. Consulte Como gerenciar licenças do Junos OS.
Baixe e instale o pacote de assinaturas de aplicativos Junos OS. Veja o download e a instalação do pacote de assinaturas de aplicativos do Junos OS.
Garanta que o Junos OS Release 20.2R1 versão posterior em seu dispositivo de segurança.
Visão geral
Neste exemplo, você aprenderá a configurar a captura automatizada de pacotes de aplicativos desconhecidos em seu dispositivo de segurança, completando as seguintes etapas:
Definir opções de captura de pacotes em nível global ou em nível de política de segurança.
Configurar o modo de captura de pacotes
(Opcional) Configurar opções de arquivo de captura de pacotes
Acesse o arquivo de captura de pacotes gerado (. arquivo pcap )
Configuração
Para saber mais sobre as opções de configuração de captura de pacotes, consulte a captura de pacotes antes de começar.
- Captura de pacotes para aplicativos desconhecidos globalmente
- Captura de pacotes para aplicativos desconhecidos em um nível de política de segurança
- Selecionar o modo de captura de pacotes
- Defina opções de captura de pacotes (opcional)
- Acesso a arquivos de captura de pacotes (.pcaps)
Captura de pacotes para aplicativos desconhecidos globalmente
Procedimento passo a passo
Para habilitar a captura de pacotes em nível global, use o seguinte comando:
user@host#set services application-identification packet-capture global
Ao habilitar a captura de pacotes em nível global, seu dispositivo de segurança gera uma captura de pacote para todas as sessões que contêm tráfego de aplicativos desconhecido.
Captura de pacotes para aplicativos desconhecidos em um nível de política de segurança
Procedimento passo a passo
Configure a captura de pacotes em um nível de política de segurança, use o seguinte procedimento. Neste exemplo, você permitirá a captura de pacotes de tráfego de aplicativos desconhecidos na política de segurança P1.
[edit]user@host#set security policies from-zone untrust to-zone trust policy P1 match source-address anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match destination-address anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match application anyuser@host#set security policies from-zone untrust to-zone trust policy P1 match dynamic-application junos:UNKNOWNuser@host#set security policies from-zone untrust to-zone trust policy P1 then permit application-services packet-capturePara habilitar a captura de pacotes de tráfego de aplicativos desconhecidos no nível da política de segurança, você deve incluir
junos:UNKNOWNas condições de combinação dinâmicas do aplicativo.Ao configurar a política de segurança (P1), o sistema captura os detalhes do pacote para o tráfego de aplicativos que se ajustem aos critérios de combinação da política de segurança.
Selecionar o modo de captura de pacotes
Você pode capturar os pacotes para o tráfego de aplicativo desconhecido em qualquer um dos seguintes modos:
modo ASC — Captura pacotes para aplicativos desconhecidos quando o aplicativo é classificado como junos:DESCONHECIDO e tem uma entrada correspondente no cache do sistema de aplicativo (ASC). Esse modo é ativado por padrão.
Modo agressivo — Captura todo o tráfego antes da classificação final do AppID. Nesse modo, o sistema captura todo o tráfego de aplicativos, independentemente de uma entrada ASC disponível. A captura de pacotes começa desde o primeiro pacote da primeira sessão. Observe que o modo agressivo é significativamente mais intensivo em recursos e deve ser usado com cautela.
Para habilitar o modo agressivo, use o seguinte comando:
[edit]user@host#set services application-identification packet-capture aggressive-modeNão recomendamos usar o modo agressivo a menos que você precise capturar a primeira ocorrência de um fluxo. Como mencionado acima, o comportamento padrão do dispositivo depende do ASC.
Defina opções de captura de pacotes (opcional)
Procedimento passo a passo
Opcionalmente, você pode definir os seguintes parâmetros de captura de pacote. Caso contrário, as opções padrão descritas na captura de pacote são usadas para esse recurso. Neste exemplo, você define opções de captura de pacotes, como limite máximo de pacote, limite de byte máximo e número de arquivos de captura de pacote (.pcap).
De definir o número máximo de pacotes de UDP por sessão.
[edit]user@host#set services application-identification packet-capture max-packets 10De definir o número máximo de bytes TCP por sessão.
[edit]user@host#set services application-identification packet-capture max-bytes 2048Dede o número máximo de arquivos de captura de pacotes (.pcap) a serem criados antes que o mais antigo seja sobregravado e rodado.
[edit]user@host#set services application-identification packet-capture max-files 30
Resultados
A partir do modo de configuração, confirme sua configuração inserindo o nível show services application-identification packet-capture de comando e show security policies hierarquia. Se a saída não apresentar a configuração pretendido, siga as instruções de configuração deste exemplo para corrigi-la.
A configuração a seguir mostra um exemplo de captura de pacotes de aplicativo desconhecida em nível global com configurações opcionais:
[edit services application-identification]user@host# show packet-capture{ global; max-packets 10; max-bytes 2048; max-files 30; }
A configuração a seguir mostra um exemplo de captura de pacote de aplicativo desconhecida em um nível de política de segurança com configurações opcionais:
[edit services application-identification]user@host# show packet-capture{ max-packets 10; max-bytes 2048; max-files 30; }
[edit security policies]user@host# showfrom-zone untrust to-zone trust { policy P1 { match { source-address any; destination-address any; application any; dynamic-application [ junos:UNKNOWN ]; } then { permit { application-services { packet-capture; } } } } }
Caso você não configure o dispositivo, entre no commit modo de configuração.
Acesso a arquivos de captura de pacotes (.pcaps)
Depois de concluir a configuração e e commit-la, você pode exibir o arquivo de captura de pacotes (.pcap). O sistema gera um arquivo de captura de pacote exclusivo para cada endereço IP de destino, porta de destino e protocolo.
Procedimento passo a passo
Para exibir o arquivo de captura de pacotes:
Navegar até o diretório onde os arquivos .pcap são armazenados no dispositivo.
user@host> start shell % % cd /var/log/pcap
Localizar o arquivo .pcap .
O arquivo .pcap é salvo em formato destination-IP-address. destination-port.protocol. pcap . Exemplo: 142.250.31.156_443_17.pcap.
user@host:/var/log/pcap # ls -lah total 1544 drwxr-xr-x 2 root wheel 3.0K Jul 27 15:04 . drwxrwxr-x 9 root wheel 3.0K Jul 24 16:23 .. -rw-r----- 1 root wheel 5.0K Jul 24 20:16 142.250.31.156_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 15:03 142.250.64.97_443_17.pcap -rw-r----- 1 root wheel 9.0K Jul 27 14:26 162.223.228.170_443_17.pcap -rw-r----- 1 root wheel 2.1K Jul 26 17:06 17.133.234.32_16385_17.pcap -rw-r----- 1 root wheel 11K Jul 24 16:20 172.217.0.226_443_17.pcap -rw-r----- 1 root wheel 16K Jul 27 14:21 172.217.9.234_443_17.pcap -rw-r----- 1 root wheel 31K Jul 27 14:25 172.217.9.238_443_17.pcap -rw-r----- 1 root wheel 17K Jul 24 19:21 52.114.132.87_3478_17.pcap
Você pode baixar o arquivo .pcap usando SFTP ou SCP e exibi-lo com o Wireshark ou seu analisador de rede preferido.
A Figura 2 mostra um arquivo .pcap amostral gerado para o tráfego de aplicativos desconhecido.
Figura 2: Arquivo de captura de pacote amostral
Nota:Nas situações em que a perda de pacotes está ocorrendo, o dispositivo pode não ser capaz de capturar todos os detalhes relevantes do fluxo. Nesse caso, o arquivo .pcap só refletirá o que o dispositivo foi capaz de ingerir e processar.
O dispositivo de segurança economiza os detalhes de captura de pacote para todos os tráfegos que atenderem aos três critérios de combinação (endereço IP de destino, porta de destino e protocolo) no mesmo arquivo, independentemente da configuração global ou em nível de política. O sistema mantém o cache com o endereço IP de destino, a porta de destino e o protocolo, e não aceita a captura repetida do mesmo tráfego que excede o limite definido. Você pode definir as opções de arquivo de captura de pacotes como na captura de pacotes.
Verificação
- Exibição de detalhes da captura de pacotes
- Captura de pacotes de detalhes de aplicativos desconhecidos por sessão
Exibição de detalhes da captura de pacotes
Propósito
Veja os detalhes da captura do pacote para confirmar se sua configuração está funcionando.
Ação
Use o show services application-identification packet-capture counters comando.
user@host> show services application-identification packet-capture counters pic: 0/0 Counter type Value Total sessions captured 47 Total packets captured 282 Active sessions being captured 1 Sessions ignored because of memory allocation failures 0 Packets ignored because of memory allocation failures 0 Ipc messages ignored because of storage limit 0 Sessions ignored because of buffer-packets limit 0 Packets ignored because of buffer-packets limit 0 Inconclusive sessions captured 4 Inconclusive sessions ignored 0 Cache entries timed out 0
Significado
A partir dessa saída da amostra, você pode obter detalhes, como o número de sessões sendo capturada e o número de sessões já capturadas. Para obter mais detalhes sobre os contadores de captura de pacotes, consulte os contadores de captura de pacotes de identificação de aplicativos show Services.
Captura de pacotes de detalhes de aplicativos desconhecidos por sessão
A partir da Versão 21.1 do Junos OS, seu dispositivo de segurança armazena a captura de pacotes de detalhes de aplicativos desconhecidos por sessão. Como resultado dessa mudança, o arquivo de captura de pacotes (.pcap) agora inclui a ID da sessão no nome do arquivo. Ou seja, destination-IP-address_destination-port_protocol_session-id. pcap em /var/log/pcap location.
Ao armazenar a captura de pacote por sessão, o tamanho do arquivo .pcap é reduzido à medida que economiza detalhes por sessão.
Além disso, aprimoramos a captura de pacotes de funcionalidades de aplicativos desconhecidas para capturar detalhes de SNI desconhecidos